METODE ZAŠTITE U VoIP SISTEMIMA

Dipl.Inž. Valjarevi�1,2, S., Prof. Dr. Petrovi�, Z2. 1 Lucent Technologies, Network Solutions - UK,

2 Elektrotehni�ki fakultet u Beogradu

I UVOD Prenos govornog signala putem IP protokola (Voice over IP - VoIP) je jedan od veoma aktuelnih pravaca u Telekomunikacijama današnjice. Obzirom da je re� o prenosu digitalizovanog signala u vidu paketa putem mreža za prenos podataka, �esto se vrši previd i smatra da ve� primenjene mere sigurnosti u nose�im IP mrežama predstavljaju adekvatnu zaštitu i za VoIP aplikacije. Cilj ovog rada je da ukaže na izvesne slabosti po pitanju sigurnosti sistema i tajnosti podataka nakon implementacije VoIP-a, i da ponudi par rešenja za njihovo prevazilaženje.

II ZAŠTITA TAJNOSTI1 U TELEFONIJI

Naj�eš�i oblici mogu�ih pretnji po sigurnost i zaštitu jednog sistema su:

- onemogu�avanje raspoloživosti usluge (Blokada servisa, DoS),

- neovlaš�eno koriš�enje usluge i - narušavanje privatnosti.

Pod privatnoš�u jedne komunikacione sesije u opštem slu�aju podrazumevaju se: privatnost identiteta /adresa u�esnika u sesiji i tajnost samog sadržaja sesije (npr. razgovora). Tradicionalna telefonska mreža se za sada pokazala daleko sigurnijom i otpornijom na upade sa strane od telekomunikacionih mreža zasnovanih na IP protokolu. Osnovni problem zaštite u VoIP mrežama nasle�en je iz koncepta samog Interneta i leži u �injenici da se svi elementi u IP mreži identifikuju po IP adresama a komuniciraju me�usobnom razmenom IP paketa. IP protokol je koncipiran tako da se u svakom paketu sadrži i adresa odredišta i adresa pošiljaoca. U svakom paketu koji predstavlja odziv na odre�eni zahtev, sadržana je i informacija o povratnoj putanji. Presretanjem takvog paketa mogu�e je dobiti informacije o topologiji mreže. Obzirom da je lako izvodljivo vratiti paket nazad mrežnom elementu koji ga otposlao, veoma je lako na taj na�in ukrasti ne�iji identitet, prisluškivati

1 Pod povredom tajnosti sesije se ne podrazumeva zakonsko presretanje signala od strane državnih organa, koje je u svakoj zemlji pravno regulisamo.

razgovor ili neovlaš�eno koristiti uslugu. Iz tog razloga se u IP mrežama primenjuje �itav niz metoda zaštite kao što su fizi�ko razdvajanje domena, razli�iti vidovi autentikacije itd. Fizi�ka zaštita je i dalje jedan od najboljih vidova zaštite. U slu�aju VoIPa to podrazumeva:

- razdavajanje namenske mreže (odre�enog servisa) od javnog domena i/ili

- razdvajanje dela mreže za govorni saobra�aj od dela mreže namenjenog prenosu podataka.

Navedene metode su gotovo po pravilu i primenjene u mrežnim sistemima operatora ili provajdera servisa. Kada se radi o mrežama manjih razmera u vlasništvu preduze�a ili institucija, onda je njihov cilj upravo koriš�enje zajedni�kih kapaciteta i za prenos podataka i za prenos govora, kao i koriš�enje javne Internet mreže za govornu komunikaciju, te se time princip fizi�kog razdvajanja �esto u startu odbacuje. Dok je spoljašnje upade donekle mogu�e preduprediti fizi�kim merama zaštite, one pak nisu ni od kakve pomo�i u slu�ajevima upada ”iznutra”. Ovde je od bitnijeg zna�aja:

- autentikacija korisnika, - postojanje i me�uzavisnost razli�itih nivoa

administratorskih ovlaš�enja i - obavezno razdvajanje adresnih domena u

okviru mreže na: medijski, signalizacioni i administrativni (kontrolni/upravlja�ki) domen.

III PRIMENLJIVOST MERA ZAŠTITE PRI

PRENOSU PODATAKA NA VoIP SISTEME Razdvajanje adresnih domena je preduslov za primenu daljih mera zaštite kao što je definisanje filtara na interfejsima klju�nih ure�aja za pristup servisu (Serveri za udaljeni pristup, Signalizacioni Gejtveji, Medija Gejtveji, “Call Server”-i itd.) koji treba da propuste samo njima namenjene pakete. Standardni vid zaštite predstavlja specifikacija filtara kao što su: Telnet, SNMP, NTP, odre�eni VoIP signalizacioni protokol i anti-spoofing filtri. Pri tome Telnet, SNMP i NTP paketi

XII Telekomunikacioni forum TELFOR 2004, Beograd, Sava Centar, 23.-25.11.2004.g.

propuštaju se samo ukoliko dolaze iz administrativnog (kontrolnog) domena mreže. Tako�e se nastoji da se, ukoliko je mogu�e, u administrativnom domenu koriste SSH (Secure SHell) i SCP (Secure CoPy) umesto Telnet-a i FTP-a, jer predstavljaju sigurniji na�in pristupa. Filtre za prepoznavanje signalizacionih VoIP protokola je me�utim lakše definisati nego primeniti u praksi. Bez obzira na primenjeni signalizacioni protokol, uspostava veze podrazumeva pristup ure�ajima kao što su “Call Server” ili “Medija-GW kontroler” koji se uglavnom nalaze u zašti�enom delu mreže iza firewall-a ili translatora mrežne adrese (NAT-Network Address Translation) što gotovo uvek predstavlja problem. Naime da bi se otposlao zahtev za uspostavljanje veze odredišnom korisniku, pozivaju�i korisnik treba unapred da zna odredišnu adresu. To je pak nemogu�e ukoliko se pozvani korisnik nalazi u privatnom adresnom domenu, odnosno iza NAT-a koji vrši dinami�ku dodelu javnih IP adresa. S druge strane omogu�avanje prolaska signalizacionog saobra�aja “dolaznog poziva” kroz firewall zna�ilo bi ostavljanje nekolicine TCP portova otvorenim, što bi opet predstavljalo veoma laku metu za upade spolja. Problemi se javljaju i kod RTP (Real Time Protocol) paketa koji se kod svih VoIP protokola univerzalno koriste za transport medija. RTP saobra�aju se dinami�ki dodeljuje UDP port sa parnim brojem iz opsega 1024 – 65534. RTCP zadužen za kontrolu tog medijskog toka pak dobija port sa slede�im višim neparnim brojem. RTP i RTCP u jednoj sesiji tako podrazumevaju dodelu ukupno 4 porta: po jedan za svaki od protokola za svaki od smerova veze. Uzimaju�i u obzir koliko simultanih sesija bi se moglo odvijati kroz isti firewall, ostavljanje portova otvorenim za njihov prolazak podrazumevalo bi ostavljanje sistema gotovo potpuno otvorenim. Navedni problemi se trenutno u praksi rešavaju na više na�ina od kojih �emo pomenuti samo neke:

- Uspostava veze ili rutiranje poziva uz pomo� “servera” (H.323 gatekeeper ili SIP proxy server kod kojih su korisnici registrovani) koji istovremeno pripadaju i privatnom i javnom adresnom domenu, što ih stavlja u poziciju da pravilno izvrše rutiranje zahteva za uspostavu veze.

- Održavanje sesije na višim nivoima OSI modela: upotrebom dodatnih elemenata “Application Level Gateways” koji vrše podrobnije ispitivanje IP paketa u cilju utvr�ivanja autenti�nosti upotrebljenog protokola i odobravaju dinami�ko otvaranje i zatvaranje potrebnih portova u skladu sa potrebama sesija koje su u toku. U slu�aju adresne translacije vrše i izmenu IP zaglavlja obzirom da vrše zamenu privatne IP adese javnom i obrnuto.

Gejtveji aplikacionog nivoa ili “Session Border” kontroleri se me�utim moraju menjati ili nadogra�ivati prilikom svake izmene samih protokola. Iz tog razloga razvijeni su razli�iti mehanizmi za prevazilaženje problema adresne translacije:

- STUN (Simple Traversal of UDP through NATs- Network Adderess translators): protokol za

otkrivanje translatora mrežnih adresa i firewall-ova i odre�ivanje javne IP adrese koju �e NAT dodeliti datom paketu. Ne može se koristiti kod “simetri�nih” NAT-ova jer u tom slu�aju mapirana adresa zavisi od odredišne

- TURN (Traversal using relay NAT): koji prestavalja komplement STUN protokola i omogu�ava mrežnim elementima koji se nalaze iza NAT-a ili firewall-a da primaju podatke putem TCP ili UDP konekcija.

- ICE (Interactive Connectivity Establishment): koji nije poseban protokol, ve� mehanizam koji koristi postoje�e protokole (STUN, TURN i RSIP...) za potrebe premoš�avanja NAT-a za potrebe SIP aplikacija.

IV ITU-T H.235 Usled uo�enih slabosti i ozbiljnosti problema zaštite prilikom primene VoIP protokola, Me�unarodna telekomunikaciona unija je usvojila H.235 [1] standard koji se primenjuje za multimedijalne aplikacije definisane ITU-T H.x serijom standarda zasnovanih na H.245 protokolu. Njime se definišu tzv. razli�iti “zaštitni profili” i predlažu mogu�nosti upotrebe �itavog spektra kodnih i zaštitnih tehnika kako postoje�ih tako i onih u razvoju. H.235 standard sam po sebi ne definiše ni jednu od tehnika, ve� se poziva na postoje�e i bavi njihovom interoperabilnoš�u i podobnoš�u za razli�ite vidove VoIP aplikacija. Ovakva koncepcija standarda je od veoma bitnog zna�aja jer omogu�ava nezavisan razvoj kodnih i zaštitnih metoda i protokola u okviru drugih standardizacionih organizacija, istovremeno nam daju�i smernice za mogu�nost njihovog koriš�enja u VoIP-u. Razmotri�emo nekolicinu metoda od zna�aja što u procesu autentikacije, što u zaštiti samih medija odnosno korisnog sadržaja.

V AUTENTIKACIJA, IPSec I VoIP Jedan od pouzdanih na�ina autentikacije, je upotreba IPSec-a. IPSec predstavlja vid zaštitnog kodovanja i mada naširoko implementitran u sistemima za prenos podataka, u VoIP-u je primenljiv samo pod odre�enim uslovima. Postoje dva režima rada IPSec-a: transportni i tunelski. Transportni režim vrši zaštitno kodovanje korisnog sadržaja kao i zaglavlja viših slojeva dok se IP zaglavalje kao i novo IPSec zaglavlje ostavljaju neizmenjenim. Ovakvo zašti�eni paket je otporan na presretanja u smislu otkrivanja sadržaja ali se veoma lako može otkriti kome je bio namenjen, odnosno ko su bili u�esnici u sesiji, kada se sesija odvijala i koliko je trajala.

Transparentni režim

Tunelski režim

Zaštitno kodovana polja - ESP

Zaglavlja protokola viših nivoa i korisni podaci

IPzaglavlje

AHzaglavlje

ESPzaglavlje

Polja obuhvacena ESP autentikacijom

Polja obuhvacena AH autentikacijom

Zaštitno kodovana polja - ESP

Zaglavlja protokola viših nivoa i korisni podaci

AHzaglavlje

Polja obuhvacena ESP autentikacijom

Polja obuhvacena AH autentikacijom

Novo«spoljašnje»IP zaglavlje

ESPzaglavlje

Prvobitno IPzaglavlje

Slika 1. “Tunelski” i “transportni” režim rada IPSec-a.

U tunelskom režimu rada zaštitno se koduje �itav IP datagram i zatim smešta u novi IP paket (Slika-1), tako da se ni u jednom trenutku ne može istovermeno otkriti i izvorna i odredišna adresa. Obzirom da zaštita privatnosti pri govornoj komunikaciji podrazumeva i privatnost u�esnika u sesiji kao i privatnost samog sadržaja sesije, smatra se da je za potrebe VoIP-a mogu�e koristiti IPSec za zadovoljavanje oba ova uslova ukoliko je primenjen tunelski režim ESP (Encapsulating Security Payload) zaštite. U velikom broju IP mreža se, naro�ito nakon uvo�enja VoIP servisa, koriste principi “redova za �ekanje” i mehanizmi uvrštavanja paketa u odgovaraju�e redove (npr. ToS - Type of Service). ToS biti se, radi lakše analize paketa, nalaze u spoljašnjem zaglavlju IP paketa. Stoga treba obratiti pažnju na mehanizam rada tunelskog IPSec-a koji stvara novo spoljašnje IP zaglavlje, kako bi se sa�uvala pravilna pozicija ToS bita. U protivnom može do�i do zagušenja i ugrožavanja funkcionisanja mreža u kojima je primenjen princip ispitivanja i analize paketa na klju�nim elementima ili obodima jezgra mreže («firewall» zaštita, serveri za uspostavu veze itd.) . Sastav prose�nog IPSec kodovanog RTP paketa, koji u VoIP-u nosi sam govorni signal, je takav da oko 40 bajtova odlazi na IPSec zaglavlje, 20 na IP zaglavlje i ukupno 20 na UDP i RTP zaglavlja. Obzirom da su RTP paketi koji nose govor, obi�no malih dimenzija, uve�anje zaglavlja prozrokovano upotrebom IPSec-a svodi stepen iskoriš�enja korisnog prostora u IP paketu na svega 63% [2]. Statisti�ka ispitivanja pokazuju da se u slu�ajevima zaštitnog kodovanja kada je neophodno vršiti analizu i izmenu samog sadržaja VoIP paketa, bolji rezultati u smislu iskoriš�enja procesorskog vremena i skra�enja vremena u redovima za �ekanje, dobijaju prilikom obrade ve�ih paketa nego u slu�ajevima kada su paketi manjih dimenzija. Razlog za to uglavnom leži u �injenici da se efikasnost pove�ava usled smanjenja odnosa broja bita u zaglavlju u odnosu na broj bita upotrebljenih za prenos korisnog saobra�aja. Izmenama širine vremenskog “prozora” ( 10, 20, 30ms...) koji se primenjuje na signal prilikom

pakovanja u IP pakete mogu�e je, u izvesnoj meri, uticati na ukupnu veli�inu IP paketa. Treba me�utim uvek imati u vidu sadržaj samog paketa i gornje pravilo primenjivati isklju�ivo na slu�ajeve kada paketi dobijaju na veli�ini usled uve�anja korisnog sadržaja. Primena IPSec-a tako�e doprinosi ukupnom uve�anju paketa ali usled uve�anja zaglavlja, što ima suprotan efekat na efikasnost mreže i predstavlja potencijalnu pretnju po sigurnost sistema obzirom da može izazvati zasi�enje procesorske jedinice i time prouzrokovati blokadu servisa.

VI SRTP (Secure Real Time Protocol) Prenos medija primenom RTP i prate�eg RTCP protokola uz koriš�enje UDP-a, se smatra se veoma podobnim pri prenosu sadržaja za koji je važnija brzina isporuke od 100%-ne pouzdanosti stizanja svih paketa na odredište. Ovo se me�utim �esto pogrešno poistove�uje sa manjim stepenom važnosti ovih paketa od paketa koji se prenosa putem TCP-a (obi�no signalizacioni). U govornoj komunikaciji se odre�eni procent izgubljenih paketa može tolerisati, ali se svaka mogu�nost prisluškivanja, kopiranja ili o�itavanja sadržaja po svaku cenu mora izbe�i. Obzirom da RTP u izvornom obliku ne predvi�a ove mere zaštite trenutno se razmatra jedan od režima rada SRTP protokola kao mogu�nost primene zaštitnih mera izme�u krajnjih ta�aka odnosno po principu “s-kraja-na-kraj”. SRTP je objavljen kao RFC 3711 u okviru IETF-a marta 2004., u obliku profila postoje�eg RTP protokola. SRTP kombinacijom “razmene Internet klju�eva” i zaštitnog kodiranja, pruža ne samo zaštitno kodovanje samih paketa ve� i mogu�nost autentikacije paketa i prevenciju njihovog umnožavanja. AES-CTR [3] (Advanced Encryption Standard) u tzv. “brojevnom” (CTR - counter) režimu rada se koristi kao osnovni zaštitni algoritam. Za potrebe UMTS-a opciono se može koristiti AES-f8 mod. AES-CTR koriš�enjem kodera generiše jedinstvenu numeri�ku vrednost (Inicijalizacioni Vektor-IV) za svaki od paketa, koja se zatim prosle�uje dekoderu na drugoj strani. Istu kombinaciju “klju�a” i “Inicijalizacionog Vektora” dozvoljeno je iskoristiti samo jednom u toku sesije. Sam SRTP je nezavisan od koriš�enog metoda za derivaciju klju�eva, ali se pak metode za derivaciju klju�eva koje su nastale kasnije, mahom razvijaju tako da budu u skladu sa SRTP-om (npr. MIKEY – Multimedia Internet Keying). �injenica da je SRTP definisan kao profil samog RTP-a omogu�ava njegovo koriš�enje u okviru postoje�ih protokola za multimedijalnu komunikaciju, tako da je njegova primena za potrebe H.323 standarda predvi�ena H.235 standardom (Aneks G), dok su kod SIP-a izvršene

modifikacije SDP protokola za potrebe razmene klju�eva.

VII UTICAJ TUNELIRANJA Tuneliranje i kriptozaštita svakako predstavljaju obe�avaju�a rešenja u domenu VoIP mreža. Postoji više na�ina za njihovu implementaciju i svaki od njih nosi sa sobom i pozitivne i negativne elemente. Samo tuneliranje može biti izvedeno (1) s-kraja-na-kraj odnosno izme�u krajnjih ta�aka/u�esnika u vezi ili pak (2) izme�u grani�nih elemenata na obodima mreže (npr. firewall-to-firewall). U drugom slu�aju se dosta dodatnih funkcija postavlja u firewall, što iziskuje znatno složeniji ure�aj, ve�i utrošak procesorskog vremena i predstavlja izvor mogu�eg zagušenja u mreži. Prvi vid pak zahteva procesiranje na krajnjim ure�ajima i stvara “tunel” koji neosetno prolazi kroz firewall, �ime se gubi zaštitna uloga Firewall-a obzirom da mu se onemogu�ava ispitivanje paketa koji kroz njega prolaze.

VIII DISKUSIJA I ZAKLJU�CI

Karakteristike govornog saobra�aja se zna�ajno razlikuju od karakteristika saobra�aja namenjenog prenosu podataka. Samim tim se neke od standardnih metoda tretiranja saobra�aja u IP mrežama u VoIP-u moraju ili primeniti uz odre�ena ograni�enja ili izmeniti ili �ak ne upotrebljavati za potrebe VoIP-a. Karakteristi�ni primeri su translacija mrežnih adresa (NAT) i upotreba IPSec-a koji nisu primenljivi u opštem slu�aju.

Opšte pravilo bi bilo da se podobnim mogu smatrati one metode zaštite �ijom se primenom unosi degradacija koja je u granicama tolerancije kvaliteta servisa govorne komunikacije. To podrazumeva:

- ukupno kašnjenje ne ve�e od 150ms, - varijacije u kašnjenju (džiter) ne ve�e od 40ms - procenat izgubljenih paketa ne ve�i od 3%.

Ove granice mogu varirati u zavisnosti od primenjenog kodeka za kompresiju govornog signala, pri �emu naravno važi obrnuto proporcionalna zavisnost izme�u stepena kompresije govornog signala i stepena tolerancije na kašnjenje, varijacije u kašnjenju i procenat izgubljenih paketa: manji stepen kompresije podrazumeva ve�i stepen tolerancije i obrnuto. Tako�e je bitno re�i da se podobnom zaštitom smatra ona koja ne ugrožava i ne umanjuje metode primenjene na signal u cilju poboljšanja kvaliteta servisa (ToS biti recimo). Druga veoma bitna stavka pri izboru tipa zaštite je opredeljenje za: (1) analizu i obradu saobra�aja na klju�nim ta�kama - po principu “firewall” VPN-ova (Virtuelnih Privatnih Mreža) ili (2) tuneliranje s-kraja-na-kraj. Postoje razalozi za i protiv i jednog i drugog u zavisnosti od vrste prenošenog sabra�aja: signalizacioni, medijski, upravlja�ki-kontrolni. Tako�e treba naglasiti da primenljivost jednog ili drugog može zavisiti i od tipa mreže: mreže u okviru preduze�a i mreže Operatora ne�e

imati iste mogu�nosti po pitanju procesiranja signala, niti iste zahteve za kvalitetom servisa.

U ovom trenutku se donekle prihvatljivim �ini hibridno rešenje koje bi podrazumevalo transport paketa vezanih za uspostavu veze kroz “firewall” zaštitu sposobnu da prepozna protokole Aplikativnog nivoa, dok bi se RTP bazirani saobra�aj mogao tunelirati “s-kraja-na-kraj”. Na ovaj na�in bi se omogu�ila primena zaštite i analize “u skokovima” neophodna za signalizaciju, dok bi transport medija neometano bio realizovan iz krajnjih ta�aka. Vreme i implementacija u praksi �e pak pokazati da li �e spuštanje f-ja Aplikativnog nivoa na ure�aje prvensteveno namenjene Mrežnom nivou predstavljati prihvatljivo rešenje.

LITERATURA: [1] ITU-T H.235, serija Aneksa, ITU, 2004.

[2] Sinden, R., “Comparison of Voice over IP with circuit switched techniques”, Department of Electronics and Computer Science, University of Southampton UK, 2002.

[3] “Using Advanced Encryption Standard (AES) Counter Mode With IPsec Encapsulating Security Payload (ESP)”, RFC 3686 IETF .

Abstract: This paper outlines some of the security threats imposed by implementation of the VoIP applications and indicates the differences in implementation of the security mechanisms in IP and VoIP environments.

SECURITY ISSUES IN VoIP SYSTEMS.